通过策略管理增强安全性：Cloudsmith 的观点

软件开发和分发变得越来越复杂，潜在的漏洞和威胁也成倍增加。这使得对强大的安全措施的需求变得更加重要 - 您构建的所有内容都可能面临风险。

认识到这一点，Cloudsmith 始终走在确保高效、安全地管理软件工件的最前沿。作为这一持续努力的一部分，我们最近发布了一套策略管理功能，以帮助简化安全操作，确保对积极加强防御潜伏威胁的软件工件进行有效治理。

政策管理：集中监督和控制

策略管理是确保安全、合规且高效的软件环境的关键组件。策略管理的核心是提供一个集中式系统来定义、实施和强制执行与软件工件相关的规则和协议。这种集中式方法可确保全面应用一致的安全措施，从而减少漏洞被忽视的机会。

Cloudsmith 的策略管理系统在设计时充分考虑了用户的需求，最重要的是以下支柱：

• 易于使用：Cloudsmith 具有直观的界面，确保设置和管理策略简单明了，即使对于那些技术不深的人来说也是如此。这种用户友好的方法确保团队可以快速实施和调整策略，而无需经历陡峭的学习曲线。

  
  

• 灵活性：认识到没有两个软件环境是相同的，Cloudsmith 的策略管理系统的构建是灵活的。用户可以自定义策略以满足其特定需求，确保安全措施适合其独特的环境。

  
  

• 全面覆盖：Cloudsmith 的策略管理不仅仅关注安全性的一个方面 - 它提供了一种整体方法，涵盖从包签名和访问控制到漏洞扫描的所有内容。这种全面的覆盖范围可确保解决所有潜在的安全威胁。

  
  

• 合规性执行：一旦制定了策略，Cloudsmith 将确保它们得到一致执行。系统自动检查合规性，确保快速识别和解决任何偏差。

身份验证策略：加强访问控制

身份验证策略是一组预定义的规则，用于确定谁可以访问什么内容。它们是安全软件环境的支柱，确保阻止未经授权的用户。

Cloudsmith 最近在此领域的增强证明了其对强大安全性的承诺。新引入的身份验证策略现在允许组织在组织级别强制实施 API 密钥轮换。虽然用户以前可以选择手动轮换密钥，但游戏规则已经改变。

组织现在可以设置密钥刷新的特定时间段或彻底阻止在规定时间范围内未更新的密钥。这种主动方法可确保过时或可能受损的密钥不会持续存在，从而增强平台的安全性。

吸取2023年1月4日CircleCI泄露事件的教训，Cloudsmith主张采取一系列措施来增强管道安全性。为了应对此次泄露，Cloudsmith 增加了对OIDC 代币的支持。这些令牌是长期凭据的更安全替代方案，可降低未经授权访问的风险。通过使用 OIDC 代币，用户可以避免将这些凭证存储在 CircleCI 中，从而进一步保护他们的操作。

许可政策：确保合规性和治理

软件许可规定了软件的使用、修改和分发方式。虽然这些许可证提供了软件使用的框架，但它们也可能带有某些限制或义务。例如，某些许可证可能会施加限制软件使用或强制共享对软件所做修改的条款。确保遵守这些许可证不仅是软件使用道德问题，也是法律必要性。

Cloudsmith 的许可政策旨在简化复杂性。 Cloudsmith 能够标记或隔离属于组织“不使用”类别的软件包，确保您始终遵守许可要求。这对于具有限制性条款或需要共享修改的许可证尤其重要。通过自动化这些许可证检查，Cloudsmith 可以节省您的时间并显着降低与不合规相关的风险。

农业设备制造商约翰迪尔最近面临的挑战就是一个说明许可证合规重要性的现实例子。软件自由保护协会 (SFC) 强调约翰迪尔不遵守通用公共许可证 (GPL)。 GPL 要求此类软件的用户共享源代码，以确保一定程度的透明度和协作。证监会认为，约翰迪尔未履行这些许可承诺，从而损害了农民修理工具的能力，影响了他们的生计。

约翰迪尔 (John Deere) 不遵守 GPL 的行为清楚地提醒我们，不遵守软件许可证可能会陷入法律和道德陷阱。该公司面临农民的多起诉讼，甚至引起了司法部和白宫的关注。虽然约翰迪尔最终达成了一项协议，为农民提供更多的设备内部运作机会，但这种情况凸显了许可证合规的重要性。

Cloudsmith 的许可政策旨在防止此类情况的发生。通过确保组织始终遵守其软件许可承诺，Cloudsmith 帮助创建一个信任、透明和合法合规的环境。

漏洞策略：主动威胁缓解

对持续集成和部署的强调带来了对持续安全性的并行需求。漏洞管理曾经是定期的审计活动，现在已成为日常关注的问题。这使得团队必须拥有能够在软件生命周期中尽早检测和解决漏洞的工具。 Cloudsmith 的策略设计得既全面又可定制，确保团队能够在不影响敏捷性的情况下保持强大的安全态势。

Cloudsmith 漏洞策略的突出功能之一是在上传时自动扫描工件以查找常见漏洞和暴露 (CVE)。这些策略的真正力量在于它们可以触发的自动化操作。根据检测到的漏洞及其严重性，Cloudsmith 可以标记它们以供审查，也可以隔离受影响的工件，从而有效阻止下载。这种级别的自动化可确保潜在威胁在进入生产环境之前就得到解决。

例如，团队可能会选择接收低或中严重漏洞的通知，但完全阻止具有高或严重漏洞的工件。

Cloudsmith 的漏洞策略并不是一刀切的解决方案。它们提供精细的控制，允许团队根据包名称、版本或版本组指定操作。这确保了政策符合不同项目或团队的特定风险偏好和操作细微差别。

但是初次上传后发现的漏洞又如何呢？ Cloudsmith 也涵盖了这一点。团队可以在上传后触发额外的扫描，确保根据最新的威胁情报不断评估他们的工件。这种持续评估确保即使在初始扫描后发现漏洞，也可以及时解决，从而保持软件环境的安全和合规性。

随着软件威胁的发展速度与软件本身一样快，Cloudsmith 的漏洞策略为团队提供了保持领先所需的工具，确保安全始终保持主动。

大局观：Cloudsmith 的整体安全方法

Cloudsmith 的安全策略是预测未来的挑战，适应技术不断变化的格局，并确保平台领先潜在风险几步。我们新推出的功能（包括策略管理）证明了这种前瞻性方法 - 它们旨在为软件分发领域更安全、更有保障的未来奠定基础。

构建和部署关键任务软件的团队需要复杂的控制。这些软件团队寻求细粒度的用户管理策略、基于角色的访问控制以及企业级的执行和报告。 Cloudsmith 是在考虑到这些团队的情况下构建的。